web-dev-qa-db-ja.com

ドメインコントローラーが1秒あたり数十回の成功した認証試行をログに記録する原因は何ですか?

約15台のサーバーと約30台のワークステーションのドメインがあります。サーバーは主に2008r2、ワークステーションは主にWindows 7です。2つのDCは2012r2です。数週間ごとに、管理アカウントの1つがロックアウトされます。原因を絞り込もうとして、行き止まりになりました。

これが私が持っているものです。

PDC=のイベントログは、イベント4776-監査の成功を示しています。

Authentication Package: Microsoft_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  username
Source Workstation: 
Error Code: 0x0

すべて同じユーザー名で、1秒間に数回繰り返されます。

イベントIDに基づくと、これらはKerberosではなくNTLMログインです。使用される認証の種類は、剪断量よりも私にとってそれほど心配ではありませんが。これは1秒間に数回発生し、数秒ごとに無限に繰り返されます。

イベントログには、このユーザー名の監査成功イベントID 4624(ログオン)および4634(ログオフ)も表示されますが、上記のイベントと同様に、「ワークステーション」フィールドは空です。

詳細なnetlogonログを有効にすると、netlogon.logに表示されます

02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Returns 0x0

などなど。これらのログイン(XYZ経由)の明らかなソースには、ネットワーク全体のワークステーションとサーバーが含まれる場合があります。

明らかに、これは自動化またはスクリプトのように見えます。ログインは通常すべて成功しているため、侵入の試みではないと思います。ただし、一部のログインは時々失敗しますが、失敗のパターンは確認できず、まれにしか発生しないため(ほとんどの場合)、アカウントがロックアウトされません。通常、障害コードは xc0000022(アクセス拒否) です。

サーバーの1つからリモート監視エージェント(現在はKaseyaですが、ついにLabTechに移行します)を無効にしてアンインストールしましたが、そのサーバーから発生する新しいイベントがまだあるため、自動化タスクは除外されています。また、いくつかのサーバーでタスクスケジューラを確認したところ、異常なことは何も見つかりませんでした。サービスをチェックしてログオンアカウントを確認しましたが、このアカウントはどのサービスでも使用されていません。

私は長い間Netstatを実行していて、主にPDC from "System" and "System Idle Process"からの接続を確認しました。spoolsrvとlsassおよびismserv(サーバーIテストしているのはCitrix XenAppサーバーですが、他の「ソース」サーバーはXenAppファームにありません。もちろん、「ソース」ワークステーションもそうではありません。テストのために印刷スプーラーサービスを停止しただけで、影響はありませんでしたログインイベント。

私はMSPで働いており、これは私たちの主要な技術者のdom管理者アカウントであるため、機能していて安全であることは最優先事項です。私が残した最後のアイデアは、パスワードを変更して何が壊れるかを確認することですが、これに使用されているアカウントを知らないと、壊滅的な結果をもたらす可能性があります。ただし、私の疑いは、これが誤って構成されたADである可能性があることです。

誰かが以前にこのようなことを経験し、ソースを特定できましたか?

7
Thomas

DCでNTLM監査をさらに有効にすることをお勧めします。既定のドメインコントローラーポリシーを使用して、次のポリシー設定を有効にします。

ネットワークセキュリティ:NTLMを制限する:着信トラフィックを監査する=すべてのアカウントの監査を有効にするネットワークセキュリティ:NTLMを制限する:このドメインのNTLM認証を監査する=すべて有効にするネットワークセキュリティ:NTLMを制限する:リモートサーバーへの送信NTLMトラフィック=すべて監査

https://support.symantec.com/en_US/article.HOWTO79508.html

https://docs.Microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865682(v = ws.10) =

有効にしたら、イベントビューアで次の場所に移動します:アプリケーションとサービスログ> Microsoft> Windows> NTLM>運用

Netlogonイベントのタイムスタンプと一致するタイムスタンプを持つイベントがあります。このログは、実際のワークステーション名を明らかにします。

特にソースをさらに特定するのに役立つように、このログのセキュアチャネル名は、プロセスの発生元を絞り込むのに役立ちます。

1
Homebrew Hops